El creciente número de ataques cibernéticos en implementaciones de bases de datos de código abierto destaca las malas prácticas administrativas y operativas de la industria.
Si 2016 nos enseñó algo, fue la importancia de las prácticas operativas sólidas y las medidas de seguridad en las implementaciones de bases de datos de código abierto. Durante varios años, los investigadores habían advertido sobre las bases de datos expuestas públicamente, con estimaciones que oscilaban entre las decenas de miles de servidores. Si la escala del problema no hubiera sido aparente o aterradora, seguramente lo es ahora.
Recientemente, los grupos de ransomware eliminaron más de 10 000 bases de datos de MongoDB en tan solo unos días. También se vieron afectadas otras bases de datos de código abierto (ElasticSearch, Hadoop, CouchDB). Mientras tanto, la cantidad de bases de datos expuestas ha aumentado a unas 100 000 instancias.
¿Qué ha llevado a esto? Las bases de datos de código abierto y el software de código abierto en general impulsan una parte importante de los servicios en línea actuales. Gracias al mayor uso de ciclos de vida de desarrollo ágiles, la nube se ha convertido en el hogar de una variedad de aplicaciones que se implementan rápidamente. Muchas empresas también han ido más allá del uso de la nube para funciones no críticas y ahora confían en la nube para almacenar datos valiosos. Esto significa que se están implementando más bases de datos en nubes públicas, en entornos que están directamente expuestos a Internet.
MongoDB en particular es muy popular entre los desarrolladores debido a su conveniencia y conveniencia. Pero aquí está el problema:activar rápidamente un entorno para el desarrollo no es lo mismo que configurarlo para la producción en vivo. Ambos exigen niveles muy diferentes de experiencia. Miles de instancias de bases de datos no estaban protegidas, y cualquiera podía obtener acceso de lectura y escritura a las bases de datos (incluidos los datos confidenciales) sin herramientas especiales o sin tener que eludir ninguna medida de seguridad. Esto no es un lapso de concentración de algunas personas que nos trajeron aquí, estamos enfrentando un problema que está más extendido de lo que nadie podría imaginar. Necesitamos reconocer que es difícil encontrar el término medio entre la facilidad de uso, la velocidad de implementación y la preparación operativa/de seguridad. Entonces, esto plantea la pregunta:¿cómo podemos superar colectivamente este tipo de problema?
Si pudiéramos capacitar a cada individuo que implementa MongoDB en un ingeniero de implementación, podría ayudar. Al menos, habrá cierto nivel de protección para que no cualquiera pueda entrar por una puerta abierta.
Las operaciones no son ciencia espacial, pero puede que no sea razonable esperar que todos los desarrolladores, que son los principales usuarios de MongoDB, se conviertan en ingenieros de sistemas/implementación completos. La industria de TI se está moviendo hacia implementaciones y despliegues de servicios más rápidos y eficientes. El término medio entre la facilidad de uso, la velocidad de implementación y las prácticas operativas sólidas puede parecer aún más lejano. La automatización podría ser lo que nos ayude a encontrar ese término medio.
Varios nueves Conviértase en un administrador de bases de datos de MongoDB - Llevando MongoDB a la producción Obtenga información sobre lo que necesita saber para implementar, monitorear, administrar y escalar MongoDBDescargar gratisLas configuraciones de bases de datos adecuadas para la producción tienden a ser un poco más complejas, pero una vez diseñadas, se pueden duplicar muchas veces con una variación mínima.
La automatización se puede aplicar al aprovisionamiento y la configuración iniciales, así como a la aplicación continua de parches, copias de seguridad, detección de anomalías y otras actividades de mantenimiento. Esta es la base de nuestra propia plataforma de automatización para MongoDB, ClusterControl. Un sistema bien implementado y administrado puede mitigar el riesgo operativo y, sin duda, habría evitado que estas miles de bases de datos fueran pirateadas.
